Что сегодня представляет угрозу данным и информации, сильно ли изменил ситуацию уход западных вендоров, насколько успешно импортозамещаются продукты ИБ и на что способна одна из первых в РФ SIEM-система – обо всем этом с редактором журнала IT News беседует основатель и совладелец компании RuSIEM Максим Степченков.
Максим, какой вам видится цифровая преступность сегодня?
Очень сложно текущую цифровую преступность описать какой-то одной фразой, настолько ее характер разносторонний. Если говорить о ее участниках, то прежде всего это школьники, студенты и просто охотники за удачей. Они что-то прочитали, где-то чему-то поучились и решили словить легких денег. И они очень опасны для массового сегмента и сегмента СМБ, которые не уделяют должного внимания информационной безопасности. Вторая часть – киберпреступники-профессионалы, которые работают в команде долго и слаженно, зарабатывая на этом большие деньги, их цель – крупный бизнес. Третья часть – кибервойска, которые атакуют крупные предприятия, госучреждения и всё, до чего могут дотянуться, чтобы нанести максимальный ущерб, их задача – утечка данных, шифрование, отключение сервисов или размещение нежелательного контента. При этом вторая и третья разновидности цифровых преступников не только используют специализированные приложения, но и создают их. На создание кибероружия выделяются колоссальные ресурсы, как человеческие, так и финансовые. Используются современные технологии, включая искусственный интеллект. Цифровая преступность очень разнообразна и очень мотивирована, что зачастую ставит ее представителей в более выгодное положение. И если специалисты по информационной безопасности не смогут объяснить руководству своих компаний мотивацию противоположной стороны, то цифровая преступность будет и дальше расти и процветать.
Очень сложно текущую цифровую преступность описать какой-то одной фразой, настолько ее характер разносторонний. Если говорить о ее участниках, то прежде всего это школьники, студенты и просто охотники за удачей. Они что-то прочитали, где-то чему-то поучились и решили словить легких денег. И они очень опасны для массового сегмента и сегмента СМБ, которые не уделяют должного внимания информационной безопасности. Вторая часть – киберпреступники-профессионалы, которые работают в команде долго и слаженно, зарабатывая на этом большие деньги, их цель – крупный бизнес. Третья часть – кибервойска, которые атакуют крупные предприятия, госучреждения и всё, до чего могут дотянуться, чтобы нанести максимальный ущерб, их задача – утечка данных, шифрование, отключение сервисов или размещение нежелательного контента. При этом вторая и третья разновидности цифровых преступников не только используют специализированные приложения, но и создают их. На создание кибероружия выделяются колоссальные ресурсы, как человеческие, так и финансовые. Используются современные технологии, включая искусственный интеллект. Цифровая преступность очень разнообразна и очень мотивирована, что зачастую ставит ее представителей в более выгодное положение. И если специалисты по информационной безопасности не смогут объяснить руководству своих компаний мотивацию противоположной стороны, то цифровая преступность будет и дальше расти и процветать.
Изменился ли ландшафт угроз в сфере безопасности данных и защиты информации за время с февраля 2022 года?
Кажется, что изменилось очень многое, но на самом деле принципиально почти ничего не изменилось. Просто тайное стало явным. Например, если раньше хакеров называли преступниками, то сейчас – кибервойсками. Сначала с ними боролись, а теперь им нередко помогают. Но не думайте, что такого не было и до всего этого. Еще один интересный вопрос – запрет использования зарубежного ПО. Эта тема «стартовала» давно, но активная замена пошла только сейчас. Нужно ли было превентивно менять ПО? Конечно! У нас огромное число сегментов экономики зависят от иностранного программного обеспечения. Фактически бизнес встанет в случае, если так решит вендор. Иногда наши крупные заказчики, защищаясь от рисков, просят исходный код. И такое началось еще до февраля 2022 года. Что касается ухода западных игроков, то Splunk объявил об уходе, но при этом его решения продолжают массово использоваться. Ушла Microsoft – будем использовать пиратский софт, который может иметь уязвимости. Согласитесь, такое было всегда – фразу «теперь точно нет неуловимых Джо» я использую в своих выступлениях на конференциях более 15 лет. А вот что изменилось точно, так это размещение информации, дискредитирующей армию. Теперь даже сайт-визитка может нести определенную угрозу для собственника.
Кажется, что изменилось очень многое, но на самом деле принципиально почти ничего не изменилось. Просто тайное стало явным. Например, если раньше хакеров называли преступниками, то сейчас – кибервойсками. Сначала с ними боролись, а теперь им нередко помогают. Но не думайте, что такого не было и до всего этого. Еще один интересный вопрос – запрет использования зарубежного ПО. Эта тема «стартовала» давно, но активная замена пошла только сейчас. Нужно ли было превентивно менять ПО? Конечно! У нас огромное число сегментов экономики зависят от иностранного программного обеспечения. Фактически бизнес встанет в случае, если так решит вендор. Иногда наши крупные заказчики, защищаясь от рисков, просят исходный код. И такое началось еще до февраля 2022 года. Что касается ухода западных игроков, то Splunk объявил об уходе, но при этом его решения продолжают массово использоваться. Ушла Microsoft – будем использовать пиратский софт, который может иметь уязвимости. Согласитесь, такое было всегда – фразу «теперь точно нет неуловимых Джо» я использую в своих выступлениях на конференциях более 15 лет. А вот что изменилось точно, так это размещение информации, дискредитирующей армию. Теперь даже сайт-визитка может нести определенную угрозу для собственника.
Как сегмент ИБ российского рынка ответил на эти угрозы?
Здесь хотелось бы выделить несколько определяющих моментов. Первое – появление множества решений, направленных на замещение продуктов ушедших игроков. Но, к сожалению, иногда это можно охарактеризовать расхожей фразой «и так сойдет». Второе – параллельный импорт решений, которые официально нельзя поставлять в РФ. В результате даже в критической инфраструктуре остаются решения, которые зависят от недружественного вендора или продолжают эксплуатироваться, но фактически без поддержки и обновлений.
Здесь хотелось бы выделить несколько определяющих моментов. Первое – появление множества решений, направленных на замещение продуктов ушедших игроков. Но, к сожалению, иногда это можно охарактеризовать расхожей фразой «и так сойдет». Второе – параллельный импорт решений, которые официально нельзя поставлять в РФ. В результате даже в критической инфраструктуре остаются решения, которые зависят от недружественного вендора или продолжают эксплуатироваться, но фактически без поддержки и обновлений.
Как изменился ландшафт этого сегмента с уходом западных вендоров?
Большинство рыночных ниш и раньше были частично заняты российскими игроками, просто их число выросло. Однако есть факторы, которые не могут не расстроить. Во-первых, снизилась конкуренция и, как следствие, замедлилось развитие решений. Во-вторых, если есть решение, которое стало монополистом, то производитель сейчас имеет возможность диктовать свои условия заказчику. Что могу назвать положительным? Если честно, почти ничего – только интеграцию с российскими системами, знание российских угроз и, конечно, сертификацию. Но, повторяю, существенных, как я называю фишек в продуктах-конкурентах, отличающих их друг от друга, практически не наблюдается.
Большинство рыночных ниш и раньше были частично заняты российскими игроками, просто их число выросло. Однако есть факторы, которые не могут не расстроить. Во-первых, снизилась конкуренция и, как следствие, замедлилось развитие решений. Во-вторых, если есть решение, которое стало монополистом, то производитель сейчас имеет возможность диктовать свои условия заказчику. Что могу назвать положительным? Если честно, почти ничего – только интеграцию с российскими системами, знание российских угроз и, конечно, сертификацию. Но, повторяю, существенных, как я называю фишек в продуктах-конкурентах, отличающих их друг от друга, практически не наблюдается.
Как, на ваш взгляд, развивается программа по импортозамещению/импортонезависимости продуктов в сфере ИБ?
Я считаю, процесс импротозамещения в сфере ИБ идет успешно, каких-то существенных тормозов нет. Основная проблема – производительность, но и она будет в скором времени решена. Если раньше российских вендоров не допускали до тяжелых систем, то сейчас начали это делать, соответственно, понятно, в каком направлении им развиваться. У клиентов же основная сложность в том, что их пожелания не слышат или не хотят слышать. Но есть и обратная сторона медали. Например, если человек привык к праворульной машине, то ему тяжело будет пересесть за левый руль, хотя бы того и требовал закон. Но на самом деле это вопрос привычки и ничего более.
Я считаю, процесс импротозамещения в сфере ИБ идет успешно, каких-то существенных тормозов нет. Основная проблема – производительность, но и она будет в скором времени решена. Если раньше российских вендоров не допускали до тяжелых систем, то сейчас начали это делать, соответственно, понятно, в каком направлении им развиваться. У клиентов же основная сложность в том, что их пожелания не слышат или не хотят слышать. Но есть и обратная сторона медали. Например, если человек привык к праворульной машине, то ему тяжело будет пересесть за левый руль, хотя бы того и требовал закон. Но на самом деле это вопрос привычки и ничего более.
Ценовая политика российских производителей ПО – как она строится сегодня?
Я бы использовал нецензурные выражения, но нельзя. Ответьте на такой вопрос: если рынок вырос в несколько раз, то и цену надо увеличивать? Пусть специалисты подорожали, но ведь и выручка выросла! На мой взгляд, желание заработать мегамаржу – это очень плохо и абсолютно непорядочно в данной ситуации! Наша компания ни разу не подняла цен за три года. Мы считаем, что в наше время это просто неэтично. По какой причине заказчики продлевают контракты на решения, которые подорожали иногда в несколько раз? На месте регуляторов я бы попросил участников рынка вернуть цены на уровень 2022 года, если рынку действительно нужны соответствующие меры поддержки, о чем мы все говорим почти на каждой конференции.
Я бы использовал нецензурные выражения, но нельзя. Ответьте на такой вопрос: если рынок вырос в несколько раз, то и цену надо увеличивать? Пусть специалисты подорожали, но ведь и выручка выросла! На мой взгляд, желание заработать мегамаржу – это очень плохо и абсолютно непорядочно в данной ситуации! Наша компания ни разу не подняла цен за три года. Мы считаем, что в наше время это просто неэтично. По какой причине заказчики продлевают контракты на решения, которые подорожали иногда в несколько раз? На месте регуляторов я бы попросил участников рынка вернуть цены на уровень 2022 года, если рынку действительно нужны соответствующие меры поддержки, о чем мы все говорим почти на каждой конференции.
Какие, на ваш взгляд, риски в ИБ-сфере несут бурно развивающиеся технологии ИИ и IoT?
Средств, которые могли бы защитить от угроз мнимого оружия, не существует. Так, надежная защита была создана после изобретения арбалета – это рыцарское облачение, а после создания пистолетов – бронежилет. Сейчас самое опасное – это сам ИИ. Для начала нужно научиться безопасно использовать эти технологии в защите. Но реальность в том, что защита всегда будет отставать от нападения.
Средств, которые могли бы защитить от угроз мнимого оружия, не существует. Так, надежная защита была создана после изобретения арбалета – это рыцарское облачение, а после создания пистолетов – бронежилет. Сейчас самое опасное – это сам ИИ. Для начала нужно научиться безопасно использовать эти технологии в защите. Но реальность в том, что защита всегда будет отставать от нападения.
Расскажите подробнее о функционале набора сервисов и инструментов SIEM.
В первую очередь это централизованный сбор и нормализация событий безопасности. SIEM собирает данные из различных источников, таких как журналы событий операционных систем, сетевые устройства, базы данных и другие системы и приложения. Это позволяет тратить меньше времени на ручной анализ событий, так как все данные находятся в едином безопасном месте. Затем это корреляция событий и обнаружение инцидентов: SIEM позволяет в режиме реального времени выявлять потенциальные угрозы безопасности, атаки и другие аномалии. Это достигается за счет встроенных правил корреляции, позволяющих анализировать полученные события и в автоматическом режиме выявлять инциденты безопасности. После выявления инцидента SIEM помогает оценить серьезность угроз, классифицировать их и принять соответствующие меры по реагированию и управлению инцидентами. На основе собранных данных и выявленных инцидентов SIEM предоставляет отличный набор инструментов для подготовки различных отчетов, необходимых для проведения аудитов и обеспечения соответствия требованиям регуляторов. В целях обеспечения комплексного подхода к безопасности решение SIEM можно интегрировать с другими системами, такими как системы управления доступом, системы обнаружения вторжений и пр. В целом SIEM-система – это мощный инструмент для обеспечения безопасности информационных систем, обнаружения и реагирования на угрозы, а также обеспечения соответствия нормативным требованиям. Словом, как я и говорю постоянно: SIEM – это ядро системы информационной безопасности.
В первую очередь это централизованный сбор и нормализация событий безопасности. SIEM собирает данные из различных источников, таких как журналы событий операционных систем, сетевые устройства, базы данных и другие системы и приложения. Это позволяет тратить меньше времени на ручной анализ событий, так как все данные находятся в едином безопасном месте. Затем это корреляция событий и обнаружение инцидентов: SIEM позволяет в режиме реального времени выявлять потенциальные угрозы безопасности, атаки и другие аномалии. Это достигается за счет встроенных правил корреляции, позволяющих анализировать полученные события и в автоматическом режиме выявлять инциденты безопасности. После выявления инцидента SIEM помогает оценить серьезность угроз, классифицировать их и принять соответствующие меры по реагированию и управлению инцидентами. На основе собранных данных и выявленных инцидентов SIEM предоставляет отличный набор инструментов для подготовки различных отчетов, необходимых для проведения аудитов и обеспечения соответствия требованиям регуляторов. В целях обеспечения комплексного подхода к безопасности решение SIEM можно интегрировать с другими системами, такими как системы управления доступом, системы обнаружения вторжений и пр. В целом SIEM-система – это мощный инструмент для обеспечения безопасности информационных систем, обнаружения и реагирования на угрозы, а также обеспечения соответствия нормативным требованиям. Словом, как я и говорю постоянно: SIEM – это ядро системы информационной безопасности.
Изменятся ли природа и характер атак на персональные данные и важную информацию в будущем, учитывая процесс цифровой трансформации экономики?
Надо принять как факт, что подвергнуться утечке может любая информация. Необходимо минимизировать последствия. Персональные данные пользователей чаще всего используются для мошеннических звонков и получения кредитов, проблему с такими звонками нужно решить на уровне государства. Кредиты выдают без явки в офис банка и без предъявления оригинала документа? Этот вопрос тоже нужно решить глобально. Впрочем, нужно по максимуму решать все проблемы на более глобальном уровне. Защита всегда отстает. Существование таких сайтов, как radarix, «Глаз Бога», и многих других ресурсов подобного рода увеличивает понимание, что в открытый доступ могут попасть любые данные. Я бы хотел, чтобы на уровне законодательства блокировалось то, что возможно. Например, спам-звонки или выдача кредитов без явки в офис.
Надо принять как факт, что подвергнуться утечке может любая информация. Необходимо минимизировать последствия. Персональные данные пользователей чаще всего используются для мошеннических звонков и получения кредитов, проблему с такими звонками нужно решить на уровне государства. Кредиты выдают без явки в офис банка и без предъявления оригинала документа? Этот вопрос тоже нужно решить глобально. Впрочем, нужно по максимуму решать все проблемы на более глобальном уровне. Защита всегда отстает. Существование таких сайтов, как radarix, «Глаз Бога», и многих других ресурсов подобного рода увеличивает понимание, что в открытый доступ могут попасть любые данные. Я бы хотел, чтобы на уровне законодательства блокировалось то, что возможно. Например, спам-звонки или выдача кредитов без явки в офис.
Как решается проблема нехватки квалифицированных кадров в таком ИТ-сегменте, как ИБ?
Плохо. Даже отвратительно. Мало того что специалистов не хватает, так их еще перекупают крупные компании с зарплатами, существенно превышающими рыночный уровень. Мы в RuSIEM первым делом начали более активно нанимать именно ИТ-специалистов, а затем стали проводить работу со студентами. Но в любом случае сегодня вузы выпускают специалистов намного меньше, чем требуется рынку.
Плохо. Даже отвратительно. Мало того что специалистов не хватает, так их еще перекупают крупные компании с зарплатами, существенно превышающими рыночный уровень. Мы в RuSIEM первым делом начали более активно нанимать именно ИТ-специалистов, а затем стали проводить работу со студентами. Но в любом случае сегодня вузы выпускают специалистов намного меньше, чем требуется рынку.